Web 安全基础知识:您的 Web 应用程序安全吗?

安全资讯 小布 411浏览 1评论

您经常可以看到70% 的网站都可以被黑客入侵。然而,可悲的事实是,只要有足够的时间和资源,每个网站和 Web 应用程序都可能被黑客入侵。

使网站或 Web 应用程序落入上述 70% 的不仅仅是漏洞。您的 Web 资产的安全性也很大程度上取决于攻击者的能力和动机。

攻击者和目标类别

要了解安全风险,您必须首先了解您可能遇到的攻击者类型以及他们如何选择目标。攻击者可以根据他们的技术知识、动机和操作方法分为三个主要类别:

  • 脚本小子:这个术语指的是业余攻击者,他们的主要动机是散布混乱(例如,通过拒绝服务攻击)或获得声誉——不太频繁地获得经济收益。他们的技术知识有限,他们主要使用现有工具并寻求轻松获胜。他们无意访问敏感数据,除非它具有直接的财务价值,例如信用卡号码。
  • 黑帽黑客:该术语是指职业攻击者,其主要动机是财务,其操作方法是非法和不道德的。他们的技术知识可能非常丰富,他们可能会采用非常复杂和有效的操作方法。不幸的是,越来越多的黑帽黑客现在卷入了有组织的犯罪活动,这让他们变得更加危险。
  • 白帽黑客:这个术语是指职业攻击者,他们的动机是金钱,但他们的操作方法是合法和道德的。它们通过查找漏洞并通知您来帮助您消除漏洞。白帽黑客不会造成伤害,恰恰相反。您应该尊重他们并邀请他们通过提高漏洞赏金来测试您的保护。

根据目标的选择方式,攻击也可以分为两个主要类别:

  • 机会主义攻击:该术语适用于基于开发潜力随机选择目标的情况。攻击者扫描一系列目标并找到那些容易受到特定攻击技术攻击的目标。例如,攻击者可能会查找所有易受SQL注入(CVE-2005-1687)攻击的 WordPress 1.5 安装。这种攻击在脚本小子中很普遍。
  • 有针对性的攻击:该术语适用于根据对攻击者的特定价值而专门选择的目标。攻击者试图找到安全问题来实现他们的目标。例如,攻击者可能试图访问敏感数据,例如企业客户的详细列表,他们的动机可能是工业间谍活动。这种类型的攻击是黑帽黑客的领域。

即使您认为您的业务对专业攻击者没有多大价值,您仍然可能成为机会主义攻击的潜在目标。如果您的敏感信息的价值足够高,那么即使是强大的访问控制和领先的保护机制也可能不足以阻止专业的恶意黑客。你越是保护自己,攻击者成功的机会就越小。您可能犯的最大错误是认为这不适用于您。

Web 应用程序安全的重要性

虽然 Web 攻击不是唯一可能导致安全受损的攻击类型,但它们是最常见的类型之一,以及所有形式的社会工程(包括网络钓鱼)和恶意软件。这些类型也经常结合使用。然而,尽管 Web 应用程序安全性很重要,但许多企业仍在努力维护它。以下是我们关于如何实现最佳安全级别的建议:Web 安全与终端安全同等重要的 5 个原因

  • 使用启发式检测。如果您只使用基于签名的检测系统,那么您只是在保护您的资产免受脚本小子攻击。专业的黑帽黑客依赖于寻找只能使用启发试Web漏洞扫描器(例如 Acunetix)或手动渗透测试才能发现的 Web 应用程序漏洞。
  • 将网络安全置于网络安全之上。如果您更关注网络安全而不是 Web 安全,那么您应该意识到过去几年中很少发生由于网络安全问题(例如与 SSL/TLS 错误相关的问题)造成的重大漏洞。另一方面,OWASP Top-10 列表中的 Web 安全问题导致的重大漏洞也不少,例如 SQL 注入攻击、跨站点脚本(XSS)、CSRF、Web 服务器和容器配置错误等。
  • 消除问题的根源。如果您认为Web应用程序防火墙足以保护您的资产,您应该意识到 WAF 规则通常可以使用恶意代码和精心设计的用户输入来规避。通过使用没有其他措施的 WAF,您并没有消除问题的根源,而只是应用了临时创可贴。

Web 应用程序安全不仅是发现安全漏洞并消除它们,而且还涉及预防。这是关于在 Web 开发和运营方面改变您的方式:

  • 教育:减少攻击面的最有效方法是对整个团队进行教育。您的开发人员、管理员、测试人员,甚至非技术人员都应该了解潜在的 Web 安全问题,并且应该知道如何避免引入此类问题。
  • 左移:您的目标应该是通过左移并将网络安全纳入您的软件开发生命周期来尽快消除网络安全问题。如果您在生产 Web 服务器上而不是在之前发现问题,则可能表明您的流程未优化。
  • 全面:请记住,Web 安全不仅适用于可通过 Web 浏览器直接访问的服务器端和客户端内容,还适用于 Web 服务、API、移动服务、物联网设备等。

转载请注明:布尔云安的博客 » Web 安全基础知识:您的 Web 应用程序安全吗?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (1)